在我的应用程序中,我使用的是使用NetTcpBindings的WCF服务,并配置了消息和传输安全性(保护级别设置为EncryptAndSign)。这些服务在系统中作为Windows服务托管。
据我所知,客户端和我的服务之间的连接应该使用SSL / TLS保护?
如果是这种情况,您能告诉我是否存在POODLE攻击风险以及如何为WCF服务明确禁用SSL 3.0?
答案 0 :(得分:2)
POODLE Vulnerability只是威胁,如果攻击者可以控制从客户端到服务器的流并注入自己的数据,同时还充当连接中间的人。
如果您的WCF服务是服务器端,那么这不是问题。
但是,如果您仍想禁用SSL并仅使用TLS,see here。